Amazonの監視カメラ「Ring」はユーザーの意思にかかわらずカメラの位置情報を特定できると指摘

Amazonのスマートカメラ「Ring」はWi-Fi経由で撮影したムービーを確認できるというもので、自宅用の監視カメラとして普及しつつあるデバイスで、専用アプリ「Neighbors」からムービーを投稿・共有することができます。Gizmodoが、Neighborsのユーザーによって共有された約500日分のデータである約6万5800ものムービーを収集・分析したところ、Ringの撮影したムービーでは人物の顔が特定できるというだけでなく、ムービーが撮影された場所の正確な緯度および経度まで記録されていることが判明しました。

Ring's Neighbors Data Let Us Map Amazon's Home Surveillance Network
https://gizmodo.com/ring-s-hidden-data-let-us-map-amazons-sprawling-home-su-1840312279

アメリカで何百万人ものユーザーを抱えるNeighborsは、地域の法執行機関から、リアルタイムで犯罪と安全に関するアラートを受信できるツールとして宣伝されています。警察とRingが提携している都市では、警察官は特別な法執行機関ポータルから、Ringで撮影されたムービーへのアクセスを要求できます。地図上の日付、時刻、場所を選択して、カメラの近くにいるNeighborsのユーザーに警告を送ることもできます。

By davidpradoperucha

Ringの広報担当者は「Ringを使用しているユーザーの正確な位置は、警察に位置情報を伝えることをユーザーが許可しない限り、難読化されている」と述べています。しかし、Gizmodoは難読化されているはずの位置情報を解読し、ロサンゼルス、ヒューストン、シアトル、オークランド、ボストン、シカゴなど15都市に位置する何万ものRingカメラの位置を示す詳細な地図を作成することに成功しました。

Gizmodoによると、位置情報を取得できたのはRing端末の一部であるものの、マップに示されているのはNeighborsアプリを使用して「警察に位置情報を伝えることを許可したユーザーのRing」ではなく「ムービーを共有することを許可したユーザーのRing」のみであるとのこと。Gizmodoが調査した約500日間に、Neighborsでムービーを共有していないRing所有者のカメラの位置情報は取得できませんでした。Gizmodoが発見したのは、最大2万台のRingと推定されています。

Gizmodoの「もしGizmodoと同じ手順で取得したデータを悪用する者がいた場合、ユーザーの家の正確な場所を特定できる」という主張に対して、Ringの広報担当者は反論しなかったものの、「Neighborsのユーザーが、Neighborsで共有すると選択したムービーのみが、Neighborsアプリおよび地域の法執行機関に公開されている」と主張しました。広報担当者によると、RingはAESとTLSを組み合わせた暗号化を使用してRing端末の位置情報を難読化しているとのこと。しかし、各ムービーの投稿に関連付けられた位置情報は、一部の技術系のユーザーには理解できるようになっているとGizmodoは主張しています。なお、Gizmodoはユーザーのプライバシーを尊重して、Ringの暗号化された位置情報を解読するための手順を公開していません。

記事作成時点で、アメリカ全土のいたるところから、リアルタイムでNeighborsからさまざまなムービーが投稿されています。たとえば、子どもや若者が写ったムービー、中には性行為に及ぶ人々のムービーもあります。移民や通関に関するムービーも確認することができます。

RingのWebサイトでは、選択した範囲内でNeighborsを利用しているユーザー同士でアラートを共有することができます。しかし、ほとんどのユーザーは、アラートではなく、自分の投稿したムービーが近隣のNeighborsユーザーとのみ共有されていると思い込んでいる可能性が高く、正確な位置情報を含め、ユーザーが投稿したムービーが地球上のどこからでも誰でも簡単に閲覧できることを、ユーザーが理解しているかどうかは不明です。

By Rawpixel

ガーディアンは2019年8月に、RingがアクティブなRingカメラの場所を描いた地図を警察と共有したことを報告しています。また、CNETは2019年12月に公文書を引用して、Ringと提携した警察が、カメラが集中している地域を反映した「ヒートマップ」へのアクセスを許可されていたと報告しています。

ヒートマップを見たプライバシー研究者のシュレヤス・ガンドル氏は、ヒートマップを拡大すると、個々のカメラの周りに円が表示されることを発見しました。しかし、Ringの広報担当者は、マップは「おおよそのデバイス密度」を示すものであると述べており、警察にはヒートマップを公に共有しないように指示していたことも明らかになっています。

RingはGoogleが2007年に何百万もの人々の顔をストリートビューとして公開していたように、一般的な監視に用いられるような映像の中で人々を公開することには「何の問題もない」と主張していました。しかし、そのようなRingの主張に誰もが同意するとは限りません。

「ほとんどの人が24時間年中無休で警察官や私立探偵によって追跡されているとしたら、気にならない人や、文句を言わない人はいないでしょう。Ringによって同じことが技術的に、静かに、目に見えないように行われているとも言えます」と、アメリカ自由人権協会のアナリスト、ジェイ・スタンリー氏は述べています。「外に出て、歩道を歩いているあなたの写真を勝手に撮って、明日の朝刊の一面に掲載することもたやすくなります」とスタンリー氏は語ります。

スタンリー氏は、Ringにより「外にいるという行為そのものが、見知らぬ人によって絶えず記録されているようなもの」と表現し、この長期にわたる観察状態は、人々の自然な行動を根本的に変えてしまう可能性があるとも指摘しています。スタンリー氏は「これまでの歴史において、人間という種が経験したことのない効果をもたらす」と危惧しています。

By DPimborough

Ringのガイドラインでは、ユーザーは「他人のプライバシー」を尊重し、「個人またはプライバシーに関わる活動」のムービーをアップロードしないことが求められています。Ringの管理者がガイドラインに沿ってサービスの運営を行う場合、プラットフォーム上に投稿されるムービーを確認し、ガイドラインに抵触する「個人またはプライバシーに関わる活動」を記録した「不適切な」映像を適宜削除すればOKです。しかし、記事作成時点では実際にはそのようなコンテンツの監査は行われておらず、GizmodoによるとワシントンDCでは何十人もの若いユーザーがNeighborsを使って子どものいたずらや自撮りを投稿しているそうです。

ブレナン司法センターの弁護士であるアンヘル・ディアス氏は、Ringによって得られる膨大なデータの規模と範囲​​について「誰かがあなたの家を通り過ぎる写真だけでは、あまり情報を得ることができません。しかし、近所を動き回る人々を特定できるシステム全体から情報を得られれば、どこに住んでいるのか、どこで働いているのか、どこに通っているのかまで判明してしまいます」と述べています。